В разделе NAT и маршрутизация администратор может создавать правила NAT, NoNAT, DNAT, NoDNAT, Порт-форвардинга, Policy-based routing и Network mapping. UserGate NGFW поддерживает NAT/DNAT для сложных протоколов, которые могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323.
События срабатывания правил отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика), если в правиле включена опция журналирования.
ПримечаниеGeoIP не может использоваться в качестве адреса источника трафика в правилах NAT и в качестве адреса назначения трафика в правилах NAT, DNAT и порт-форвардинг.
Правила NAT
Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило NAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание
Описание правила.
Тип
Тип правила. Выберите NAT.
SNAT IP (внешний адрес)
Явное указание IP-адреса, на который будет заменён адрес источника. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения.
Допускается указание диапазона IP-адресов. Например, 192.168.10.10-192.168.10.20. В этом случае NGFW будет использовать все указанные адреса при Source NAT.
Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Вставить
Выбор места расположения правила в общем списке правил.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Пользователи
Доступно начиная в версии 7.3.0 и выше.
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в главе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Зона, списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис
Тип сервиса. Например, HTTP, HTTPS или другой.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
ПримечаниеРекомендуется создавать общие правила NAT, например правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.
Правила NoNAT
Правила NoNAT (доступно в версии ПО 7.4.0 и выше) полезны, когда из работающих в системе правил NAT необходимо исключить отдельные адреса узлов или подсетей без переписывания всей настроенной политики. Трафик, фильтруемый правилом NoNAT, будет проходить через систему без трансляции адресов.
Чтобы создать правило NoNAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора.
Описание
Описание правила.
Тип
Тип правила. Выберите NoNAT.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Вставить
Выбор места расположения правила в общем списке правил.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Пользователи
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в главе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Зона, списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис
Тип сервиса. Например, HTTP, HTTPS или другой.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
Правила DNAT
Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет. Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси. Подробнее о публикации ресурсов с помощью правил reverse-прокси — в главе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси. Для публикации серверов, работающих по протоколам, отличным от HTTP/HTTPS, необходимо использовать публикацию DNAT.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило DNAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора. Доступно в версии ПО 7.3.0 и выше.
Описание
Описание правила.
Тип
Тип правила. Выберите DNAT.
SNAT IP (внешний адрес)
Явное указание IP-адреса, на который будет заменён адрес источника. Если SNAT IP не указан, то адрес источника будет заменён на адрес интерфейса NGFW, с которого отправлен пакет.
Допускается указание диапазона IP-адресов. Например, 192.168.10.10-192.168.10.20.
Важно! Для замены адреса источника на указанный адрес необходимо во вкладке DNAT активировать Флажок Включить SNAT.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Доступно в версии 7.4.0 и выше.
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Списки IP-адресов (внешние IP-адресоа NGFW, доступные из сети интернет, куда адресован трафик внешних клиентов), списки URL назначения трафика.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис
Тип сервиса, который необходимо опубликовать. Например, HTTP.
Если не указан сервис, то будут опубликованы все сервисы.
Важно! Следующие порты не могут быть использованы для публикации сервисов, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100.
Адрес назначения DNAT
IP-адрес компьютера в локальной сети, который публикуется в интернет.
Включить SNAT
При включении данной опции NGFW будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
ПримечаниеПри использовании нескольких правил DNAT с SNAT, отличающихся только условиями адреса назначения, действие SNAT будет выполняться только по первому правилу DNAT. Это обусловлено тем, что пакет, попавший под любое из этих правил, после изменения IP-адреса назначения не будет отличаться на сетевом и транспортном уровне модели OSI. При одинаковых DNAT IP необходимо в правилах DNAT иметь уникальные условия в зонах/сервисах/адресах источника.
ПримечаниеТрафик DNAT/порт-форвардинг не обрабатывается правилами межсетевого экрана, созданными по умолчанию (Default block). Подробнее — в разделе UserGate NGFW 7 Packet flow.
Правила NoDNAT
Правила NoDNAT (доступно в версии ПО 7.4.0 и выше) полезны, когда из работающих в системе правил DNAT необходимо исключить отдельные адреса узлов или подсетей без переписывания всей настроенной политики. Трафик, фильтруемый правилом NoDNAT, будет проходить через систему без трансляции адресов.
Чтобы создать правило NoDNAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора.
Описание
Описание правила.
Тип
Тип правила. Выберите NoDNAT.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Вставить
Выбор места расположения правила в общем списке правил.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Списки IP-адресов (внешние IP-адресоа NGFW, доступные из сети интернет, куда адресован трафик внешних клиентов), списки URL назначения трафика.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис
Тип сервиса, который необходимо опубликовать. Например, HTTP.
Если не указан сервис, то будут опубликованы все сервисы.
Важно! Следующие порты не могут быть использованы для публикации сервисов, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
Правила порт-форвардинга
Правила порт-форвардинга работают аналогично правилам DNAT, за исключением того, что эти правила позволяют изменить номер порта, по которому публикуется внутренний сервис. Чтобы создать правило порт-форвардинга, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить указать необходимые параметры.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание
Описание правила.
Тип
Тип правила. Выберите порт-форвардинг.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пят минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Доступно в версии 7.4.0 и выше.
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Порт-форвардинг
Переназначение портов публикуемых сервисов:
Оригинальный порт назначения — номер TCP/UDP-порта, на который пользователи шлют запросы; следующие порты не могут быть использованы для переназначения, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100;
Новый порт назначения — номер TCP/UDP-порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.
Адрес назначения DNAT
IP-адрес компьютера в локальной сети, который публикуется в интернете.
Включить SNAT
При включении данной опции NGFW будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
ПримечаниеТрафик DNAT/порт-форвардинг не обрабатывается правилами межсетевого экрана, созданными по умолчанию (Default block). Подробнее — в статье UserGate NGFW 7 Packet flow.
Policy-based routing
Правила policy-based routing (PBR) используются для указания определённого маршрута в интернет для выбранных узлов и/или сервисов. Например, в организации используются два провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной — через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию интернет-шлюз провайдера 2 и настроить правило policy-based routing для HTTPS-трафика через шлюз провайдера 1.
ПримечаниеПравила PBR не заменяют и не влияют на работу правил NAT. Для трансляции адресов после правила PBR необходимо поставить соответствующее правило NAT.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило policy-based routing, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать необходимые параметры.
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание
Описание правила.
Тип
Тип правила. Выберите Policy-based routing.
Шлюз
Выбор одного из существующих шлюзов. Шлюз может быть добавлен в разделе Сеть ➜ Шлюзы.
Важно! Выбранный шлюз может относиться к определенному виртуальному маршрутизатору.
Сценарий
Указание сценария, который должен быть активным для срабатывания правила. Подробнее о работе сценариев — в разделе Сценарии.
Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Доступно в версии 7.3.0 и выше.
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Списки IP-адресов, списки URL назначения трафика, Geo IP.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис
Тип сервиса. Например, HTTP, HTTPS или другой.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
Network mapping
Правила Network mapping позволяют подменить адрес сети источника или назначения. Как правило, это необходимо, если имеется несколько сетей с одинаковой адресацией, и их необходимо объединить в единую маршрутизируемую сеть. Без подмены адресов сетей такое объединение совершить невозможно. Network mapping изменяет только адрес сети, оставляя адрес узла без изменений. Например, при замене сети источника с 192.168.1.0/24 на 192.168.2.0/24 узел 192.168.1.1 будет изменен на 192.168.2.1.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Чтобы создать правило Network mapping, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:
Наименование
Описание
Включено
Включение или отключение правила.
Название
Название правила.
Теги
Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание
Описание правила.
Тип
Тип правила. Выберите Network mapping.
Журналирование
Запись в журнал информации о трафике при срабатывании правила.
Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Нет. В этом случае информация не будет записываться.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Доступно в версии 7.4.0 и выше.
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства.
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение
Списки IP-адресов, списки URL назначения трафика, GeoIP.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис
Тип сервиса. Например, HTTP, HTTPS или другой.
Network mapping
Указание параметров подмены сетей.
Новая IP-сеть/маска — адрес сети, на которую будет производится замена.
Направление:
Входящий, подменяется IP-сеть назначения. Будут изменены IP-адреса назначения в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.
Исходящий, подменяется IP-сеть источника. Будут изменены IP-адреса источника в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.
Использование
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.
